基于深度学习的恶意软件特征分析与检测方法研究
发布时间:2021-08-29 21:13
恶意软件是当今最严重的安全威胁之一。当前面临着恶意软件变种规模巨大且急速增长的情况,恶意软件检测的一大挑战是高效地检测恶意软件变种。然而基于Hash、String等方法的传统恶意软件检测技术难以满足当前恶意软件检测的需求。因此,近些年的研究工作中提出一系列基于人工智能技术,如基于机器学习的恶意软件智能检测方法,以期达到有效并高效地检测恶意软件变种。然而,当前恶意软件智能检测方法仍然存在一些问题,主要包括:较低的准确性和性能、较低的代码覆盖率、检测方法的平台适用性差、检测模型的特征覆盖低等问题,针对这些问题,面向不同应用场景,本文主要基于深度学习技术提出一系列恶意软件智能检测方法。基于深度学习的恶意软件检测技术也面临一些挑战,如超长序列的数据表征、稀疏数据表征、特征融合难、时间开销过大等问题。这些问题制约着基于深度学习的恶意软件检测技术的应用。针对传统恶意软件智能检测方法精度和召回率较低的问题,本文提出一种基于操作码语义表征的恶意软件检测方法,以提升检测潜伏的恶意软件变种的准确性。该方法采用操作码二元组对恶意软件进行表征,该操作码二元组可以细粒度地表示超长操作码序列的局部语义信息。同时,...
【文章来源】:湖南大学湖南省 211工程院校 985工程院校 教育部直属院校
【文章页数】:108 页
【学位级别】:博士
【部分图文】:
研究工作思路
最为早期的深度学习方法之一,多层感知器应用广泛,但仍然存在一些问题,如随着神经网络层数的增加而愈发明显梯度消失问题、随着数据表征维度的增加而出现的欠拟合问题,以及仅在有限样本训练下的过拟合问题等。随着深度学习技术的不断发展,学术界和工业界提出一些列深度学习方法以改善上述问题,并取得较好的效果。(2)深度信念网络
由于一些可执行程序事先被加壳工具加固过,使得难以对其进行反汇编处理,所以本文首先检测可执行程序是否被加壳,并且对于加壳过的可执行程序采用ASPack[103]、UPX[7]等工具进行脱壳处理,处理之后的可执行程序即可进行反汇编操作。脱壳操作不是必要的,当一个可执行程序没有被事先加壳,那么无需对其进行脱壳处理。然后,本文采用反汇编工具提取可执行程序中的操作码序列,其中,对于Windows可执行程序,如.exe文件,本文采用W32dasm[97],对于Android可执行程序,如.apk文件解压缩后的class.dex文件,本文采用Dedexer[99]。本文不采用更多其他的反汇编工具是为了避免不同反汇编工具因反汇编机制不同导致它们生成操作码序列存在差异。反汇编处理后,会得到可执行程序的操作码序列,如Windows操作码序列{call,mov,mov,test,je,......},以及Android(Dalvik)操作码序列{new-instance,sgetobject,invoke-direct,invoke-virtual,invoke-virtual,invoke-virtual,moveresult,......}。如图3.1、3.2所示。图3.2 Android操作码序列
【参考文献】:
期刊论文
[1]基于数据特征的内核恶意软件检测[J]. 陈志锋,李清宝,张平,丁文博. 软件学报. 2016(12)
[2]基于证据推理的程序恶意性判定方法[J]. 张一弛,庞建民,赵荣彩. 软件学报. 2012(12)
[3]基于语义的恶意代码行为特征提取及检测方法[J]. 王蕊,冯登国,杨轶,苏璞睿. 软件学报. 2012(02)
[4]基于行为依赖特征的恶意代码相似性比较方法[J]. 杨轶,苏璞睿,应凌云,冯登国. 软件学报. 2011(10)
[5]恶意软件网络协议的语法和行为语义分析方法[J]. 应凌云,杨轶,冯登国,苏璞睿. 软件学报. 2011(07)
[6]提升多维特征检测迷惑恶意代码[J]. 孔德光,谭小彬,奚宏生,宫涛,帅建梅. 软件学报. 2011(03)
[7]基于延后策略的动态多路径分析方法[J]. 陈恺,冯登国,苏璞睿. 计算机学报. 2010(03)
[8]广义病毒的形式化定义及识别算法[J]. 何鸿君,罗莉,董黎明,何修雄,侯方勇,钟广军. 计算机学报. 2010(03)
本文编号:3371395
【文章来源】:湖南大学湖南省 211工程院校 985工程院校 教育部直属院校
【文章页数】:108 页
【学位级别】:博士
【部分图文】:
研究工作思路
最为早期的深度学习方法之一,多层感知器应用广泛,但仍然存在一些问题,如随着神经网络层数的增加而愈发明显梯度消失问题、随着数据表征维度的增加而出现的欠拟合问题,以及仅在有限样本训练下的过拟合问题等。随着深度学习技术的不断发展,学术界和工业界提出一些列深度学习方法以改善上述问题,并取得较好的效果。(2)深度信念网络
由于一些可执行程序事先被加壳工具加固过,使得难以对其进行反汇编处理,所以本文首先检测可执行程序是否被加壳,并且对于加壳过的可执行程序采用ASPack[103]、UPX[7]等工具进行脱壳处理,处理之后的可执行程序即可进行反汇编操作。脱壳操作不是必要的,当一个可执行程序没有被事先加壳,那么无需对其进行脱壳处理。然后,本文采用反汇编工具提取可执行程序中的操作码序列,其中,对于Windows可执行程序,如.exe文件,本文采用W32dasm[97],对于Android可执行程序,如.apk文件解压缩后的class.dex文件,本文采用Dedexer[99]。本文不采用更多其他的反汇编工具是为了避免不同反汇编工具因反汇编机制不同导致它们生成操作码序列存在差异。反汇编处理后,会得到可执行程序的操作码序列,如Windows操作码序列{call,mov,mov,test,je,......},以及Android(Dalvik)操作码序列{new-instance,sgetobject,invoke-direct,invoke-virtual,invoke-virtual,invoke-virtual,moveresult,......}。如图3.1、3.2所示。图3.2 Android操作码序列
【参考文献】:
期刊论文
[1]基于数据特征的内核恶意软件检测[J]. 陈志锋,李清宝,张平,丁文博. 软件学报. 2016(12)
[2]基于证据推理的程序恶意性判定方法[J]. 张一弛,庞建民,赵荣彩. 软件学报. 2012(12)
[3]基于语义的恶意代码行为特征提取及检测方法[J]. 王蕊,冯登国,杨轶,苏璞睿. 软件学报. 2012(02)
[4]基于行为依赖特征的恶意代码相似性比较方法[J]. 杨轶,苏璞睿,应凌云,冯登国. 软件学报. 2011(10)
[5]恶意软件网络协议的语法和行为语义分析方法[J]. 应凌云,杨轶,冯登国,苏璞睿. 软件学报. 2011(07)
[6]提升多维特征检测迷惑恶意代码[J]. 孔德光,谭小彬,奚宏生,宫涛,帅建梅. 软件学报. 2011(03)
[7]基于延后策略的动态多路径分析方法[J]. 陈恺,冯登国,苏璞睿. 计算机学报. 2010(03)
[8]广义病毒的形式化定义及识别算法[J]. 何鸿君,罗莉,董黎明,何修雄,侯方勇,钟广军. 计算机学报. 2010(03)
本文编号:3371395
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3371395.html
